Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), Asya, Latin Amerika ve Avrupa'daki kuruluşları hedef alan "StrikeShark" adlı yeni bir siber saldırı kampanyasını duyurdu. Saldırganların, Endonezya'daki diplomatik misyonlar, Tayvan'daki devlet kurumları, Hong Kong'daki yazılım geliştirme şirketleri ile Lübnan, Suriye, Kolombiya, Kuzey Makedonya, Nepal ve Sırbistan'daki çeşitli kuruluşları hedef aldığı belirlenmiştir. Kaspersky, söz konusu kampanyayı şu an bilinen herhangi bir APT grubuyla ilişkilendirmemekle birlikte, tehdit faaliyetlerini yakından takip etmeyi sürdürmektedir.
Saldırganlar, hedef sistemlere ilk sızma aşamasında farklı teknikler kullanmaktadır. Microsoft Exchange, Microsoft SharePoint ve Openfire sunucuları gibi internete açık uygulamalardaki güvenlik açıkları istismar edilmektedir. Ayrıca, Google Update ve Cisco AnyConnect gibi meşru yazılımların arkasına gizlenmiş zararlı yükleyiciler (dropper) ve kurban sistemlerde PDF belgelerinin sosyal mühendislik aracı olarak kullanıldığı tespit edilmiştir. İlk sızma sonrasında, özel yapım "SharkLoader" zararlı yükleyicisi DLL side-loading tekniğini ve API hooking yöntemlerini kullanarak tespit mekanizmalarını atlatmakta, sonraki aşamada ise Cobalt Strike Beacon aracını enjekte etmektedir.
Kaspersky'nin güvenlik araştırmacısı Fareed Radzi, StrikeShark kampanyasının saldırganların hazır araçları, özel yapım zararlı yazılımları ve gelişmiş gizlenme tekniklerini birleştirdiğini belirtmiştir. Kuruluşlara karşı etkili bir savunma için düzenli yama yönetimi, güçlü EDR çözümleri ve kapsamlı siber güvenlik farkındalık eğitimi gerekli hale gelmiştir. Kaspersky, tüm uygulamalara düzenli güncellemeler uygulanmasını, güvenilir güvenlik çözümleri kullanılmasını ve çalışanların eğitilmesini önermektedir.
